OFICIO 220-006690 DEL 3 DE FEBRERO DE 2021

ASUNTO: SEGMENTACIÓN DEL SAGRILAFT.

Me remito a la comunicación radicada en esta Entidad con el número y fecha

de la referencia, en la que se solicita que se emita un concepto sobre los
siguientes aspectos:

1. “Se puede hacer la segmentación de factores de riesgo en conjunto

con la matriz de riesgos de la compañía en cuanto a LAFT se refiere. O
si deben ser distintos es decir en un documento segmentar y en el otro
los riesgos.

2. Por otro lado, quisiera saber si en ambos casos (matriz de riesgo /

segmentación) deben ir asociados los factores de riesgo y si estos deben
ser los mismos para ambos documentos.”

Aunque es sabido, es oportuno reiterar que en atención al derecho de petición

en la modalidad de consulta, la Superintendencia de Sociedades con
fundamento en los artículos 14 y 28 del Código de Procedimiento
Administrativo y de lo Contencioso Administrativo, emite un concepto de
carácter general sobre las materias a su cargo, que no se dirige a resolver
situaciones de orden particular, ni constituye asesoría encaminada a solucionar
controversias, o determinar consecuencias jurídicas derivadas de actos o
decisiones de los órganos de una sociedad determinada.

En este contexto se explica que las respuestas en instancia consultiva no son

vinculantes, ni comprometen la responsabilidad de la Entidad, como tampoco
pueden condicionar el ejercicio de sus competencias administrativas o
jurisdiccionales en un caso concreto.

Adicionalmente, debe precisarse que la Entidad carece de competencia en

función consultiva para resolver un caso concreto de competencia de las
dependencias misionales de la misma.

Con el alcance indicado, y para dar respuesta a las inquietudes planteadas,

éste Despacho procede a efectuar las siguientes consideraciones de índole
general.
Determinó la Superintendencia de Sociedades en la Circular 100-000016 del
24 de diciembre de 2020, lo siguiente:

“2. Definiciones

Para efectos del presente Capítulo X, los siguientes términos deben

entenderse de acuerdo con las definiciones que a continuación se
establecen, independientemente de que ellos se utilicen en singular o en
plural:

(…)

 Matriz de Riesgo LA/FT/FPADM: es uno de los instrumentos que le

permite a una Empresa identificar, individualizar, segmentar, evaluar y
controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta,
conforme a los Factores de Riesgo LA/FT/FPADM identificados.

(…)

5. Sistema de Autocontrol y Gestión del Riesgo LA/FT/FPADM –

SAGRILAFT.

(…)

El SAGRILAFT deberá tener en cuenta los riesgos propios de la

Empresa Obligada1 y la materialidad, relacionados con LA/FT/FPADM,
para lo cual se debe analizar el tipo de negocio, la operación, el tamaño,
las Áreas Geográficas donde opera y demás características particulares.
Para los anteriores fines, las Empresas Obligadas deberán contar con
una Matriz de Riesgo LA/FT/FPADM u otro mecanismo equivalente de
evaluación del Riesgo LA/FT/FPADM que les permita medir y auditar su
evolución.

El SAGRILAFT debe identificar y manejar los Riesgos LA/FT/FPADM de

cada Empresa Obligada, con la premisa que a mayor riesgo se debe
tener mayor control.

(…)

1 Los riesgos propios de la Empresa incluyen el análisis del tamaño y la composición general de la economía y el
sector en el cual se desarrolla la actividad de cada empresa (enfoque basado en riesgo según la Recomendación GAFI
No.1).
5.1.1. Diseño y aprobación.

El diseño del SAGRILAFT estará a cargo de la Empresa Obligada, para

lo cual deberá tener en cuenta la materialidad, las características propias
de la Empresa y su actividad, así como la identificación de los Factores
de Riesgo LA/FT/FPADM (Matriz de Riesgo LA/FT/FPADM u otro
mecanismo de evaluación, individualización, identificación y
segmentación del Riesgo LA/FT/FPADM). El representante legal y la
junta directiva, o el máximo órgano social cuando aquella no existe,
deberán disponer de las medidas operativas, económicas, físicas,
tecnológicas y de recursos que sean necesarias para que el Oficial de
Cumplimiento pueda desarrollar sus labores de manera adecuada.
(…)

5.2.1. Identificación del Riesgo LA/FT/FPADM:

El SAGRILAFT debe permitirle a las Empresas Obligadas identificar los

Factores de Riesgo LA/FT/FPADM, así como los riesgos asociados con
éste.
Para identificar el Riesgo LA/FT/FPADM, las Empresas Obligadas
deben, como mínimo:

a. Clasificar los Factores de Riesgo LA/FT/FPADM de conformidad con

la actividad económica de la Empresa Obligada y su materialidad.
b. Establecer, una vez sean identificados, individualizados,
segmentados y clasificados los Factores de Riesgo LA/FT/FPADM, las
metodologías para identificar el riesgo específico de LA/FT/FPADM que
puede llegar a enfrentar la Empresa Obligada, así como otros posibles
riesgos asociados. Con base en esa clasificación y segmentación, se
deben señalar, identificar e individualizar los riesgos.
c. Establecer, una vez clasificados y segmentados los Factores de
Riesgo LA/FT/FPADM, las condiciones de tiempo, modo y lugar, así
como la relevancia y la prioridad con que se deben ejecutar las medidas
de Debida Diligencia.
d. Disponer e implementar los mecanismos y medidas que le permitan
un adecuado conocimiento, identificación e individualización de los
Factores de Riesgo LA/FT/FPADM que le resultan aplicables.

(…)
 5.2.3. Control del riesgo.

(…)

Para controlar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben

adoptar, entre otras medidas, el establecimiento de metodologías y la
creación de una Matriz de Riesgo LA/FT/FPADM para definir los
mecanismos de control más adecuados y su aplicación a los Factores
de Riesgo LA/FT/FPADM identificados.

Para controlar el Riesgo LA/FT/FPADM, la Empresa Obligada debe,

como mínimo:

a. Establecer las metodologías para definir las Medidas Razonables de

control del Riesgo LA/FT/FPADM.
b. Aplicar las metodologías a cada uno de los Factores de Riesgo
LA/FT/FPADM.
c. Establecer controles y herramientas para la detección de operaciones
Inusuales y Operaciones Sospechosas, con base en los Riesgos
LA/FT/FPADM identificados en la clasificación, segmentación e
individualización de los Factores de Riesgo LA/FT/FPADM y conforme a
la Matriz de Riesgo LA/FT/FPADM, teniendo en cuenta que a mayor
riesgo mayor control.”. (Subraya el Despacho).

Como se puede evidenciar de los apartes transcritos, es claro que en la Matriz

de Riesgo es uno de los instrumentos que le permite a una empresa identificar,
individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los
que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM
identificados, por lo cual, en la misma deberá reflejarse dicha información. Sin
perjuicio de lo anterior, y en opinión de ésta Oficina, documentos adicionales
podrán desarrollar alguno(s) de los elementos de la misma, los cuales servirán
para la articulación de la Matriz del Riesgo respectiva.

Al respecto de su segunda pregunta, es pertinente recordar lo señalado por

ésta Entidad, respecto de la segmentación de los factores de riesgo:

“¿Cómo deden las sociedad segmentar sus factores de riesgo? -

Metodologías

El Sistema deberá contemplar como mínimo las siguientes medidas y

procedimientos que permitan identificar las situaciones de Riesgo de
LA/FT y contribuyan a prevenir o gestionar sus consecuencias.
1. Evaluación y análisis de operaciones, negocios y contratos

Deben evaluarse y analizarse las operaciones, negocios y contratos que

desarrolle la Empresa, para identificar las fuentes de riesgo, es decir, las
Contrapartes, los Productos, los canales de distribución y la Jurisdicción
Territorial.

A continuación se enuncian algunos casos que pueden ser factores de

riesgo:

Respecto de Contrapartes

- Celebrar negocios con personas naturales o jurídicas que no estén

plenamente identificadas.

- Aceptar nuevos socios, accionistas o empleados con antecedentes

judiciales de lavado de activos o financiamiento del terrorismo.

- Admitir nuevos socios o accionistas sin verificar previamente el origen

de los recursos que aportan.

Respecto de operaciones, negocios o contratos:

1. Operaciones que involucren un alto volumen en efectivo, sin

justificación aparente. U. Negocios sobre bienes muebles o inmuebles a
precios considerablemente distintos a los normales del mercado.

2. Donaciones

3. Operaciones, negocios o contratos que no consten por escrito. y

Pagos de operaciones con recursos derivados de giros internacionales
provenientes de varios remitentes a favor de un mismo beneficiario, o de
un mismo remitente a favor de varios destinatarios, sin una relación
aparente.

4. Operaciones con subcontratistas que no han sido identificados.

5. Operaciones comerciales o negocios con las personas listadas en las

resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006,
expedidas por el Consejo de Seguridad de las Naciones Unidas o sus
distintos comités y demás resoluciones que las modifiquen o
complementen.
 6. Operaciones celebradas con Contrapartes domiciliadas o ubicadas en
jurisdicciones designadas por el GAFI como no cooperantes. ix.
Operaciones en las que se utilicen monedas viduales.

7. Una vez identificadas las situaciones que puedan ser fuente de Riesgo
de LA/FT, se debe elaborar una relación y dejar documentado el análisis
de cada riesgo.

(…)”2.

Por lo anteriormente descrito, es claro que en la Matriz del Riesgo

LA/FT/FPADM se deben reflejar la totalidad de los factores de riesgo, su
identificación, segmentación, evaluación y control de cada empresa,
analizando la situación particular de la misma.

De conformidad con lo expuesto, se responde de manera cabal la consulta,

teniendo como base fundamental los conceptos reiterados en cada ítem
particular, no sin antes reiterar que los efectos del presente pronunciamiento
son los descritos en el artículo 28 del Código de Procedimiento Administrativo
y de lo Contencioso Administrativo, y que en la Página WEB de ésta Entidad
puede consultar directamente la normatividad, los conceptos que la misma
emite sobre las materias de su competencia y la Circular Básica Jurídica, entre
otros.

2 COLOMBIA. SUPERINTENDENCIA DE SOCIEDADES. Preguntas frecuentes. Lista de generalidades e

implementación SARLAFT. [Consultado el 22 de enero de 2021]. Disponible en:
https://www.supersociedades.gov.co/chat/lists/lista_generalidades_implementacin_sarlaft/allitems.aspx